防火墻運維指南(20210124210609)

1、集團文件版本號：(M928-T898-M248-WU2669-I2896-DQ586-M1988)防火墻系統(tǒng)日常運維指南VI. 00防火墻系統(tǒng)日常運維指南一、每日例行維護1、系統(tǒng)管理員職責(zé)為保證防火墻設(shè)備的正常運行，系統(tǒng)管理員需要在每日對設(shè)備進行 例行檢查。系統(tǒng)管理員在上班后，登錄防火墻管理界面，查看系統(tǒng)的CPU、內(nèi)存 的使用率及網(wǎng)接口的工作狀態(tài)是否正常。確保CPU使用率在80%以下，內(nèi)存使用率85%以下：如出現(xiàn)CPU 及內(nèi)存使用率過高的情況，查看防火墻設(shè)備的會話連接總數(shù)、半 連接數(shù)以及端口流量是否正常。如果存在會話連接總數(shù)、半連接數(shù)、端口流量異常，超出平時的 正常范圍的情況下，可能是有人在進

2、行ARP攻擊或蠕蟲攻擊，通 過會話管理查看各會話的連接情況，查找異常會話，并對其進行 手動阻斷。如果會話連接總數(shù)、半連接數(shù)及端口流量處在正常范 圍內(nèi)，但此時網(wǎng)絡(luò)訪問效率明顯變慢的情況下，重啟防火墻設(shè) 備。在管理界面中的網(wǎng)絡(luò)接口狀態(tài)正常情況下是綠色：如果工作端口 出現(xiàn)紅色的情況下，需要及時通知網(wǎng)絡(luò)管理員，配合查看交換機 與防火墻之間的端口鏈路是否正常。如交換機及線路都正常的情況下，重啟防火墻；如果還存在問題 請及時電話聯(lián)系廠商工程師。按照要求，添加新增的防護對象。2）安全管理員職責(zé)安全管理員在每日上班后定時（每日至少二次，9點、17點），通 過數(shù)據(jù)中心，查看日志是否存在高級別的告警日志（警示級別

3、以上）； 如果出現(xiàn)高級別告警日志，立即按以下步驟進行處理：設(shè)備本身造成中高級別告警：高級別告警主要為設(shè)備本身的硬 件故障告警！處理方式如下：立即通知廠商工程師到達現(xiàn)場處理。處理完畢后，形成報告，并發(fā)送主管領(lǐng)導(dǎo)。網(wǎng)絡(luò)故障造成的中高級別告警：網(wǎng)絡(luò)負載過大?。ˋRP攻擊，蠕 蟲等）處理方式如下：分析會話記錄，查詢可疑會話，協(xié)同系統(tǒng)管理員阻斷可疑會話的 源地址。查出源地址后，應(yīng)立即安排相關(guān)技術(shù)人員到現(xiàn)場處理問題機器。 問題機潛處理完畢后，形成處理報告，分析此次高告警事件的原 因，并發(fā)送主管領(lǐng)導(dǎo)（主管室主任、主管副部長）。（下同） 網(wǎng)絡(luò)攻擊行為造成的中高級別告警：如IP掃描，端口掃描等 防火墻一般會自動

4、阻斷該連接，并同時生成告警日志。此類告警，安全管理員需分析告警日志，查詢源IP地址，并安 排相關(guān)技術(shù)人員到達現(xiàn)場處理問題機器。問題機器處理完畢后，形成處理報告，分析此次高告警事件的原 因，并發(fā)送主管領(lǐng)導(dǎo)。3）審計員職責(zé)1）審計員應(yīng)每周五登陸系統(tǒng)，查看系統(tǒng)審計日志，查看是否有異常 管理員登陸行為。2）系統(tǒng)發(fā)生異常時，審計員應(yīng)立即登陸系統(tǒng)，查看系統(tǒng)審計日志， 并分析是否有管理員的異常系統(tǒng)配置信息。二、周期性維護工作在防火墻設(shè)備的運行過程中，需要定期對設(shè)備進行維護。1、系統(tǒng)管理員職責(zé)每星期（周五）對IPS、AV的特征碼模塊進行升級（至相關(guān)網(wǎng) 站，如有最新的版本，下載后手動升級）。升級完成后，在“系統(tǒng)

5、管理一維護一備份恢復(fù)”界面，選擇 “防病毒入侵防御配置導(dǎo)出"，進行配置備份。每月，系統(tǒng)管理員需對本月防火墻系統(tǒng)發(fā)生的升級及變化情況 進行匯總，并提交主管領(lǐng)導(dǎo)。2、安全管理員職責(zé)每星期（周五）登陸數(shù)據(jù)中心，通過報表工具生成本周口志事 件報表，并導(dǎo)出保存。同時需對其中高級別告警信息進行統(tǒng)計 分析。每星期（周五）查看數(shù)據(jù)中心數(shù)據(jù)庫的磁盤空間占用情況是否 正常，如磁盤空間不足，應(yīng)及時將磁盤的系統(tǒng)自動備份的日志 文件轉(zhuǎn)移到其他的存儲設(shè)備上。日志管理員在每個口志備份周期到期的后一天應(yīng)查看日志的自 動備份工作是否正常，如果出現(xiàn)不正常的情況，應(yīng)及時對日志 進行手動備份。及時查找無法自動備份的原因，是

6、否是由于磁盤空間不足無法 備份。如果不是由于磁盤空間不足造成，則有可能是由于PC 服務(wù)器時間運行造成日志服務(wù)器相關(guān)進程異常造成的，需要重 啟日志服務(wù)器。每月，安全管理員需對本月防火墻上的日志通過報表工具生成 本月事件報表，并導(dǎo)出保存，同時，需要對高級級別以上告警 信息進行統(tǒng)計，形成分析報告后，提交主管領(lǐng)導(dǎo)。3、審計員職責(zé)每星期（周五）登陸登陸數(shù)據(jù)中心，通過報表工具，生成本周 配置審計事件報表，并導(dǎo)出保存。三、不定期維護工作1、系統(tǒng)管理員職責(zé)根據(jù)需求增添防護對象。配置發(fā)生變化后，及時保存配置信息。系統(tǒng)管理員對設(shè)備進行了恢復(fù)備份配置文件的操作后，應(yīng)立刻將防火墻設(shè)備是行重啟，使備份的配置文件能夠生效

7、。2、安全管理員職責(zé)根據(jù)安全需要，對安全防護策略作出調(diào)整。安全策略調(diào)整后，通知系統(tǒng)管理員進行配置備份。安全產(chǎn)品（防火墻）日常檢查記錄單設(shè)備名稱（天融信）防火墻系統(tǒng)管理 員檢查日期安全管理 員檢查內(nèi)容（系統(tǒng)管理員）序號檢查項正常值正常不正常處理辦法1端口狀態(tài)綠色2CPU使用 率<80%3MEM使用 率<85%故障處理記錄 記錄：檢查內(nèi)容（安全管理員）序號檢查項正常值正常不正常處理辦法1口志服務(wù) 器連接情 況可ping通在口志服務(wù)器防 火墻上設(shè)置允許 ping的策略2日志級別無錯誤以 上級別告 警3口志服務(wù) 器狀態(tài)正?？刹?詢異常處理記錄記錄：日志服務(wù)器無法ping通，通過抓包分析發(fā)現(xiàn)

8、，ping請求包能夠達到日志 服務(wù)器網(wǎng)卡，但是日志服務(wù)器未作出響應(yīng)，通過檢查日志服務(wù)器設(shè)置發(fā) 現(xiàn)，是日志服務(wù)器開啟了防火墻，但是防火墻禁止了 icmp報文，設(shè)置日志 服務(wù)器的防火墻策略后，問題得以解決。四、周記錄檢查五、月報 維護建議常規(guī)維護 1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認賬號和口令，不建議使用缺省的賬號、密碼管理防火墻；嚴 格按照實際使用需求開放防火墻的相應(yīng)的管理權(quán)限，并且管理權(quán)限的開 放控制粒度越細越安全；設(shè)置兩級管理員賬號并定期變更口令；僅容許 使用SSH和SSL方式登陸防火墻進行管理維護。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出 完整

9、網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護網(wǎng)段、網(wǎng)絡(luò)流向、策略 表、應(yīng)用類型等），以便網(wǎng)絡(luò)異常時快速定位故障。4、整理一份上下行交換機配置備份文檔（調(diào)整其中的端口地址和路由指 向），提供備用網(wǎng)絡(luò)連線。防止防火墻發(fā)生硬件故障時能夠快速旁路防 火墻，保證業(yè)務(wù)正常使用。5、在日常維護中建立防火墻資源使用參考基線，為判斷網(wǎng)絡(luò)異常提供參 考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個故障告警信息，在第一時間修復(fù)故障 隱患。7、建立設(shè)備運行檔案，為配置變更、事件處理提供完整的維護記錄，定 期評估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能 出現(xiàn)的問題和應(yīng)對措施，條件允許

10、情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生 各類故障時的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機故障時 的路徑保護切換。應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流 量，定位故障是否與防火墻有關(guān)。如果故障與防火墻有關(guān)，可首先檢查 防火墻的、地址轉(zhuǎn)換策略、訪問控制策略、路由等是否按照實際使用需 求配置，檢驗策略配置是否存在問題。一旦定位防火墻故障，可通過命 令進行雙機切換，單機環(huán)境下發(fā)生故障時利用備份的交換機/路由器配 置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、 檢查設(shè)備運行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時，應(yīng)快速判斷防火墻設(shè)備運行狀態(tài)，通過管理器登陸 到防火墻上，快速查看CPU

11、、內(nèi)存、連接數(shù)、Interface以及相應(yīng)信息， 初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問，順序檢查接口狀態(tài)、路由和策略配 置是否有誤，在確認上述配置無誤后，通過tcpdump命令檢查防火墻對 特定網(wǎng)段數(shù)據(jù)報處理情況。部分地址無法通過防火墻往往與策略配置有 關(guān)。3、 檢查是否存在攻擊流量通過實時監(jiān)控確認是否有異常流量，同時在上行交換機中通過端口鏡 像捕獲進出網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認異常流量和攻擊類型，并在選項設(shè) 置、入侵防護等項目中啟用對應(yīng)防護措施來屏蔽攻擊流量。4、 檢查HA工作狀態(tài)檢查HA工作狀態(tài)，進一步確認引起切換的原因，引起HA切換原因通 常為鏈路故障，交換機端口故障，設(shè)備斷電或重啟。設(shè)備運行時務(wù)請不 要斷開HA心跳線纜。5、 防火墻發(fā)生故障時處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用 console 口登陸防火墻，防火墻反復(fù)啟動、無法建立ARP表、接口狀態(tài)始 終為Down、無法進行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過調(diào)整上 下行設(shè)備路由指向，快速將防火墻旁路，同時聯(lián)系供應(yīng)商進行故障診 斷?？偨Y(jié)改進 故障處理后的總結(jié)與改進是